实验12网络嗅探与协议分析

实验12网络嗅探与协议分析第一页，共83页。12.1实验目的12.1.1通过网络嗅探了解网络数据类型，了解网络工作原理；12.1.2通过实验理解并掌握网络嗅探工具Wireshark的使用；12.1.3

通过实验理解并掌握TCP/IP体系结构及其协议分析方法；12.1.4通过实验理解并掌握FTP协议的工作原理；12.1.5通过实验理解并掌握Telnet协议的工作原理；2023/4/182第二页，共83页。12.1实验目的（续）12.1.6通过实验理解并掌握HTTP协议的工作原理；12.1.7通过实验理解并掌握DNS协议的工作原理；12.1.8通过实验理解并掌握ARP协议的工作原理；12.1.9通过实验理解并掌握QQ协议的工作原理12.1.10通过实验理解并掌握迅雷下载协议的工作原理；12.1.11通过实验加深对协议格式、协议层次及协议交互过程的理解。2023/4/183第三页，共83页。12.2实验要求12.2.1预习实验原理；12.2.2熟悉实验设备；12.2.3熟悉实验环境；12.2.4……2023/4/184第四页，共83页。12.3实验原理12.3.1网络嗅探基础概述网络嗅探：利用计算机的网络接口截获目的地为其它计算机的数据报文；网络嗅探器：一种监控网络数据的工具，又称Sniffer

抓包，它工作在网络底层，通过对局域网上传输的各种关键信息进行窃听，从而获取重要信息；一个信息包嗅探器向我们展示出正在网络上进行的活动；2023/4/185第五页，共83页。12.3实验原理（续）嗅探借助于网络接口，在正常的情况下，一个网络接口应该只响应：目的MAC地址为本机硬件地址的数据帧、向所有设备发送的广播数据帧；网络接口使用网卡的接收模式广播方式：网卡能够接收网络中的广播信息；组播方式：网卡能够接收组播数据；直接方式：只有目的网卡才能接收该数据；混杂模式：网卡能够接收一切通过它的数据，而不管该数据是否是传给它的。2023/4/186第六页，共83页。12.3实验原理（续）嗅探的基本原理：如果在编程时将网卡的工作模式设置为“混杂模式”，那么网卡将接受所有传递给它的数据包。2023/4/187第七页，共83页。12.3实验原理（续）12.3.2协议分析基础概述协议分析：通过程序分析网络数据包的协议头和尾，从而了解信息和相关的数据包在产生和传输过程中的行为；在典型的网络结构中，网络协议和通信采用的是分层式设计方案，在OSI网络结构参考模型中，同层协议之间能相互进行通信；协议分析器的主要功能：分析各层协议头部和尾部，通过多层协议头尾和其相关信息来识别网络通信过程中可能出现的问题的方法，称之为专家分析。2023/4/188第八页，共83页。12.3实验原理（续）网络体系结构应用层传输层网际层网络接口层应用层表示层会话层传输层网络层数据链路层物理层FTPTCPIPEthernetTelnetHTTPUDPX.25PPPTCP/IP协议族TCP/IP模型OSI

参考模型2023/4/189第九页，共83页。12.3实验原理（续）TCP/IP的主要协议协议簇TCP/IP主要协议主要功能应用层Http、Telnet、FTP、E-mail

等负责把数据传输到传输层或者接收从传输层返回的数据；传输层TCP、UDPTCP为两台主机上的应用程序提供高可靠的端到端的数据通信，包括把应用程序交给它的数据分成数据块交给网络层、确认接收到的分组等；UDP则为应用层提供不可靠的数据通信，它只是把数据包的分组从一台主机发送到另一台主机，不保证数据能到达另一端；网络层ICMP、IP、IGMP主要为数据包选择路由，其中IP是TCP/IP协议族中最为核心的协议，所有的TCP、UDP、ICMP、IGMP数据都以IP数据包格式传输；链路层ARP、RARP和设备驱动程序及接口发送时将IP包作为帧发送，接收时把收到的位组装成帧，同时提供链路管理、错误检侧等。2023/4/1810第十页，共83页。12.3实验原理（续）数据封装一台计算机要发送数据到另一台计算机，数据首先必须打包，打包的过程称为封装；封装就是在数据前面加上特定的协议头部；数据协议头数据2023/4/1811第十一页，共83页。12.3实验原理（续）TCP/IP

协议的封装TCP头应用层数据应用层数据TCP头应用层数据IP头帧头TCP头应用层数据IP头帧尾应用层传输层网际层数链层网卡地址IP地址应用地址（80）2023/4/1812第十二页，共83页。12.3实验原理（续）12.3.3常见协议原理IP协议TCP/IP

协议栈中重要的网际层协议；向高层提供无连接的服务；网际层传输的数据单元是分组，一般称为IP数据报；主要功能：从源端经互连网到目的端尽最大努力传输数据报。2023/4/1813第十三页，共83页。12.3实验原理（续）固定部分可变部分04816192431版本标志生存时间协议标识区分服务总长度片偏移填充首部检验和源地址目的地址可选字段（长度可变）位首部长度数据部分数据部分首部IP数据报首部发送在前IP

数据报格式2023/4/1814第十四页，共83页。12.3实验原理（续）ICMP协议：InternetControlMessageProtocolIP协议本身提供无连接的服务，不包括流量控制与差错控制功能；检测网络状态（路由、拥塞、服务质量等问题）；提供多种形式的报文，每个ICMP消息报文都被封装于IP分组中；PING是一个典型的基于ICMP协议的实用程序。2023/4/1815第十五页，共83页。12.3实验原理（续）ICMP报文格式类型代码校验和数据区12 3

4CHECKSUM：整个ICMP报文的校验和算法与IP分组头的校验和算法相同CODE：提供报文类型的详细信息类型ICMP报文类型ICMP报文0ECHO应答11分组超时3目的不可达12分组参数错4源抑制13时间戳请求5路由重定向14时间戳应答8回应请求17地址掩码请求18地址掩码应答2023/4/1816第十六页，共83页。12.3实验原理（续）ICMP报文类型差错报告（网关→主机信息传输）信宿（网络、主机、协议、端口）不可达报告超时报告（TTL=0）参数差错报告IP校验和错误重组失败控制报文（网关→主机）源抑制报文重定向报文请求|应答报文(主机→主机信息传输)ECHO请求|应答时间戳请求|应答地址掩码请求|应答类型码ICMP报文0ECHO应答3目的不可达4源抑制5路由重定向8ECHO请求9路由广播10路由请求11分组超时12分组参数错13时间戳请求14时间戳应答15信息请求消息16信息响应消息17地址掩码请求18地址掩码应答2023/4/1817第十七页，共83页。12.3实验原理（续）ICMP回声请求|应答ABB可以到达吗？ICMP回声请求

可以，我在这里。ICMP回声应答用PING命令产生的回声及其应答示意图2023/4/1818第十八页，共83页。12.3实验原理（续）ARP协议地址解析协议；把IP地址转换成MAC地址。2023/4/1819第十九页，共83页。12.3实验原理（续）ARP工作过程每个主机都有一个ARP缓存，一旦收到ARP应答，

主机就将获得的IP地址和物理地址存入缓存，发送报文时，首先到缓存中查找相应项，若找不到，再利用ARP进行地址解析；在ARP请求中填上自己的IP地址和硬件地址，以避免其它主机过后再发ARP请求；2023/4/1820第二十页，共83页。12.3实验原理（续）当广播ARP请求时，网上所有的计算机都能收到该报文，此时各站应更新A的IP地址到物理地址之间的映射；当网上出现一个新的计算机时，该新的计算机尽可能主动广播它的IP地址和物理地址，以避免其它站都运行ARP。2023/4/1821第二十一页，共83页。12.3实验原理（续）ARP

数据报格式硬件类型协议类型硬件地址长度协议长度操作源站MAC地址（前4字节）源站MAC地址（后2字节）源站IP地址（前2字节）源站IP地址（后2字节）目的站MAC地址（前2字节）目的站MAC地址（后4字节）目的站IP地址2023/4/1822第二十二页，共83页。12.3实验原理（续）TCP协议：传输控制协议面向连接；可靠；在源端将上层的数据流划分成段的形式，在目的端将段重新整合成数据流；重传机制；流控制。2023/4/1823第二十三页，共83页。12.3实验原理（续）TCP首部20字节的固定首部目的端口数据偏移检验和选项（长度可变）源端口序号紧急指针窗口确认号保留FIN32位SYNRSTPSHACKURG位08162431填充TCP数据部分TCP首部TCP报文段IP首部发送在前IP数据部分TCP数据报格式2023/4/1824第二十四页，共83页。12.3实验原理（续）TCP选项域kind=81Blen=101Btimestampvalue4Btimestampechoreply4Bkind=31Blen=31Bshiftcount1Bkind=21Blen=41BMSS2Bkind=11Bkind=01BendofoptionsNOPnooperationMaximumSegmentSizeWindowScaleFactorTimeStamp2023/4/1825第二十五页，共83页。12.3实验原理（续）建立TCP连接：通过三次握手建立一个TCP连接，协商一些参数（双方的初始序列号、分段大小等）；客户机（发起者）服务器（提供者）SYN，SeqNum=xSYNandACK，SeqNum=yandAck=x+1ACK，Ack=y+12023/4/1826第二十六页，共83页。12.3实验原理（续）释放TCP连接：通过四次握手释放一个TCP连接。客户机（发起者）服务器（提供者）FINFIN-ACKFINFIN-ACK发送数据Dataack2023/4/1827第二十七页，共83页。12.3实验原理（续）UDP协议：用户数据报协议无连接；不可靠；以用户数据报形式传送信息，在目标端不需要重组数据；不提供确认与流量控制。2023/4/1828第二十八页，共83页。12.3实验原理（续）UDP数据报格式伪首部源端口目的端口长度检验和数据首部UDP长度源IP地址目的IP地址017IP数据报字节44112122222字节发送在前数据首部UDP用户数据报2023/4/1829第二十九页，共83页。12.3实验原理（续）DNS协议：域名解析协议，提供域名到主机IP地址的映射；域名服务的三大要素域（Domain）和域名（Domainname）：域指由地理位置或业务类型而联系在一起的一组计算机构成；主机：由域名来标识，域名是由字符和（或）数字组成的名称，用于替代主机的数字化地址（IP地址）；域名服务器：提供域名解析服务的主机，通常由其IP地址标识。2023/4/1830第三十页，共83页。12.3实验原理（续）域名解析过程2023/4/1831第三十一页，共83页。12.3实验原理（续）DNS报文格式报文首部标识：16bit#用于查询，应答报文使用同样的#标志查询或应答；希望递归；可以递归；授权应答。标识标志问题数资源记录数授权资源记录数额外资源记录数查询问题回答（资源数可变）授权（资源数可变）额外信息（资源数可变）2023/4/1832第三十二页，共83页。12.3实验原理（续）DNS消息格式头部（Header）：包含关于消息性质方面的信息；查询问题（Question）：包含目的服务器请求访问的信息；回答（Answer）：包含用于提供Question部分所要求的信息的资源记录；授权（Authority）：包含指向Question部分所要求信息的权威服务器资源记录；额外信息（Additional）：包含用于回答Question部分的其他信息。2023/4/1833第三十三页，共83页。12.3实验原理（续）头部选项功能TransactionID它包含将查询与应答关联起来时使用的标识符值QR用于设定消息是个查询消息还是应答消息OPCODE用于设定生成的消息查询类型AA应答消息由作为请求访问查询名字所在域权威服务器应答TC用于表示消息已经被截尾RD在查询中，表示目的服务器应该将该消息视为递归查询。如果没有该标志，则表示该查询是个迭代查询。RA用于设定服务器是否被配置成能够处理递归查询Z未用RCODE用于设定应答消息性质，表示何时出现了错误和错误的类型QDCOUNT用于设定消息的Question部分中的项目的数量ANCOUNT用于设定消息的Answer部分中的项目的数量NSCOUNT用于设定消息的Authority部分中的项目的数量ARCOUNT用于设定消息的Additional部分中的项目的数量2023/4/1834第三十四页，共83页。12.3实验原理（续）说明：每个DNS消息都有一个Header部分，只有当DNS消息包含数据时，DNS消息才包含其他4个部分。2023/4/1835第三十五页，共83页。12.3实验原理（续）查询问题部分选项功能QNAME它包含请求访问的信息所涉及的DNS名字、域名或区域名字QTYPE用于设定要求访问的资源记录的类型QCLASS用于设定要求访问的资源记录的种类DNS

消息的Question部分包含首标的QDCOUNT字段中设定的项目的数量；大多数情况下，该部分中只有一个选项。2023/4/1836第三十六页，共83页。12.3实验原理（续）回答授权部分选项功能NAME包含提供的信息所涉及的DNS名字、域名或区域的名字TYPE包含一个代码，用于设定项目包含的资源记录的类型CLASS包含一个代码，用于设定资源记录的种类TTL用于设定提供的资源记录应该在服务器缓存中存放的时间RDLENGTH用于设定RDATA字段的长RDATA用于设定资源记录的数据，数据的性质取决于TYPE和CLASS字段值2023/4/1837第三十七页，共83页。12.3实验原理（续）HTTP协议：基于客户|服务器模式；客户机的操作GET：检索URL(用得最多)；HEAD：只检索响应头；POST：向服务器发送数据；PUT：putspageonserver（在服务器上放页面）；DELETE：从服务器上删除页面。HTTP消息请求；响应。2023/4/1838第三十八页，共83页。12.3实验原理（续）方法(大写)说明GET请求获取Request-URI所标识的资源；它是目前网上最常用的方法。POST在Request-URI所标识的资源后附加新的数据；POST请求可以导致新资源的产生和已有资源的更新。HEAD请求获取由Request-URI所标识的资源的响应消息报头；要求响应与相应的GET请求的响应一样，但是没有响应体（responsebody）。这用来获得响应头（responseheader）中的元数据信息（meta-information）有帮助，因为它不需要传输所有的内容。PUT请求服务器存储一个资源，并用Request-URI作为其标识。DELETE请求服务器删除Request-URI所标识的资源。TRACE请求服务器回送收到的请求信息，主要用于测试或诊断；客户端可以（通过此方法）察看在请求过程中中间服务器添加或者改变哪些内容。CONNECT将请求的连接转换成透明的TCP/IP通道，通常用来简化通过非加密的HTTP代理的SSL-加密通讯（HTTPS）。OPTIONS请求查询服务器的性能，或者查询与资源相关的选项和需求。2023/4/1839第三十九页，共83页。12.3实验原理（续）HTTP操作客户机发送请求GETHTTP/1.0服务器发送响应HTTP-Version:HTTP/1.0200OKContent-Length:3012Content-Type:text/html<body>2023/4/1840第四十页，共83页。12.3实验原理（续）HTTP请求报文格式方法SPRequest-URISP短语首部字段名值……首部字段名值请求正文crlfcrlf消息报头请求行HTTP请求报文结构Crlf：cr表示回车，lf表示换行2023/4/1841第四十一页，共83页。12.3实验原理（续）HTTP响应报文格式方法SP状态码SP版本首部字段名值……首部字段名值响应正文crlfcrlf消息报头请求行HTTP响应报文结构Crlf：cr表示回车，lf表示换行2023/4/1842第四十二页，共83页。12.3实验原理（续）HTTP请求消息格式Http请求报文：ASCII（可读格式）GET/somedir/page.htmlHTTP/1.0User-agent:Mozilla/4.0Accept:text/html，image/gif，image/jpegAccept-language:fr（extracarriagereturn，linefeed）requestline（GET，POST，HEADcommands）headerlines回车，换行表示报文的结束2023/4/1843第四十三页，共83页。12.3实验原理（续）HTTP响应消息格式HTTP/1.0200OKDate:Thu，06Aug199812:00:15GMTServer:Apache/1.3.0（Unix）Last-Modified:Mon，22Jun1998…...Content-Length:6821Content-Type:text/html

datadatadatadatadata...状态行（协议状态码，状态短语）头部行数据，例如，请求的html文件2023/4/1844第四十四页，共83页。12.3实验原理（续）FTP协议：基于客户|服务器模式Internet文件传送的基础；FTP完成两台计算机之间的拷贝，从远程计算机拷贝文件至本地计算机上，称之为“下载（download）”文件，若将文件从本地计算机中拷贝至远程计算机上，则称之为“上载（upload）”文件；在TCP/IP协议中，FTP标准命令TCP端口号为21，Port方式数据端口为20。控制连接在整个会话期间一直保持连接状态。数据连接则是临时建立的，在文件传送结束后即被关闭。2023/4/1845第四十五页，共83页。12.3实验原理（续）FTP结构图2023/4/1846第四十六页，共83页。12.3实验原理（续）FTP支持的模式：区别在于数据连接是由谁发起；Standard模式（PORT方式，主动方式），

FTP的客户端发送PORT命令到FTP服务器；Passive模式（

PASV，被动方式），FTP的客户端发送PASV命令到FTP服务器；2023/4/1847第四十七页，共83页。12.3实验原理（续）Port模式FTP客户端首先和FTP服务器的TCP21端口建立连接，通过这个通道发送命令；客户端需要接收数据的时候在这个通道上发送PORT命令，PORT命令包含了客户端用什么端口接收数据；在传送数据的时候，服务器端通过自己的TCP20端口连接至客户端的指定端口发送数据；

FTP服务器必须和客户端建立一个新的连接用来传送数据；2023/4/1848第四十八页，共83页。12.3实验原理（续）Passive模式在建立控制通道的时候和Standard模式类似，但建立连接后发送的不是Port命令，而是Pasv命令；FTP服务器收到Pasv命令后，随机打开一个高端端口（端口号大于1024。主要原因是1024以前的端口都已经预先被定义，由一些典型的服务使用或保留给以后会用到这些端口的资源服务）并且通知客户端在这个端口上传送数据的请求；客户端连接FTP服务器端口，然后FTP服务器将通过这个端口进行数据的传送，这个时候FTP服务器不再需要建立一个新的和客户端之间的连接。2023/4/1849第四十九页，共83页。12.3实验原理（续）Windows有自带的FTP命令和IE浏览器来作为FTP的客户端。后者在IE的地址栏上输入

服务器地址来访问，前者可以在命令窗口下通过ftp命令来使用；使用FTP命令登录成功远程FTP服务器后即进入FTP子环境，在这个子环境下，用户可以使用FTP的内部命令完成相应的文件传输操作；2023/4/1850第五十页，共83页。12.3实验原理（续）FTP的命令格式ftp[-v][-d][-i][-n][-g][-w:windowsize][主机名/IP地址]；参数-v：不显示远程服务器的所有响应信息；-n：限制ftp的自动登录；-i：在多个文件传输期间关闭交互提示；-d：允许调试、显示客户机和服务器之间传递的全部ftp命令；-g：不允许使用文件名通配符；-w：windowsize忽略默认的4096传输缓冲区。2023/4/1851第五十一页，共83页。12.3实验原理（续）TELNET协议：基于客户|服务器模式Telnet协议是TCP/IP协议族中的一员，是Internet远程登陆服务的标准协议；应用Telnet协议能够把本地用户所使用的计算机变成远程主机系统的一个终端。2023/4/1852第五十二页，共83页。12.3实验原理（续）TELNET协议的基本服务Telnet定义一个网络虚拟终端为远端系统提供一个标准接口，客户机程序不必详细了解远端系统，只需构造使用标准接口的程序；Telnet包括一个允许客户机和服务器协商选项的机制，而且它还提供一组标准选项；Telnet对称处理连接的两端，即Telnet不强迫客户机从键盘输入，也不强迫客户机在屏幕上显示输出。2023/4/1853第五十三页，共83页。12.3实验原理（续）TELNET协议的应用Windows

XP自带了Telnet客户机和服务器程序，分别是Telnet.exe（客户机程序）和tlntsvr.exe（服务器程序）；TELNET客户程序为用户提供命令接口。可通过：控制面板-管理工具-服务-启动TELNET服务器程序；一旦连接到TELNET服务器，用户即可使用任何远程计算机上基于字符的应用程序，查看TELNET服务器的信息，和TELNET服务器进行数据传输。2023/4/1854第五十四页，共83页。12.3实验原理（续）常见TELNET的命令open：使用“open主机名/IP地址”可以建立到主机的Telnet连接；close：关闭现有的Telnet连接；display：查看Telnet客户的当前设置；quit：退出Telnet客户程序。2023/4/1855第五十五页，共83页。12.3实验原理（续）QQ协议：基于客户|服务器模式QQ好友间消息传送原理基于UDP协议来实现的，UDP数据具有固定端口8000，这些数据都通过加密的形式在网络中转输；QQ选择UDP协议的主要原因：UDP的速度比TCP要快，由于TCP协议中植入了各种安全保障功能，在实际执行的过程中会占用大量的系统开销，无疑使速度受到影响，而UDP由于排除了信息可靠传递机制，将安全和排序等功能移交给上层应用来完成，降低了执行时间，使速度得到了保证；2023/4/1856第五十六页，共83页。12.3实验原理（续）QQ的文件传输建立在TCP连接之上的，其格式是包头为0x04包尾为0x03。基于UDP可以用端口再根据协议特征方式识别；而基于TCP的HTTP方式可以根据数据包的特征识别QQ数据；QQ除了使用UDP通信，还与TCPF服务器通信，而且与TCPF服务器的通信量远远大于UDP通信量。2023/4/1857第五十七页，共83页。12.3实验原理（续）TCPF文本聊天协议簇TCPF（TextChattingProtocolFamily）文本聊天协议族，主要支持与其它QQ端进行文字聊天；TCPF是建立在UDP协议上的协议簇；TCPF是以请求－响应模式工作的，也就是说，客户端发出一个请求，服务器端会给出一个相应的响应；服务器向客户端发送信息，客户端也会给服务器相应的响应。请求和响应通过相同的序列号来进行配对（请求代码也应该相同）。而且每种请求的发起方都是相同的。2023/4/1858第五十八页，共83页。12.3实验原理（续）TCPF格式：包头+数据+包尾包头：QQ协议有多种包头，分别代表一类用途的包，所有的TCPF包的前七个字节是包头，从包头可以识别包的内容；第0个字节：TCPF

包标示：0x02；第1-2个字节：发送者标识，如果是0x010x00，表明是由服务器发送，客户端的标识与所使用的QQ版本有关；第3-4个字节：命令编号；第5-6个字节：命令序列号；包尾：所有的TCPF包都以0x03作为包尾；2023/4/1859第五十九页，共83页。12.3实验原理（续）TCPF数据登录请求包LIP（LogInPacket）：由客户端向服务器发出登录请求的数据包；登录应答包LRP（LoginReplyPacket）：由服务器响应客户端登录请求的数据包；注销请求包LOP（LogOutPacket）：由客户端向服务器发出注销登录请求的数据包，服务器对此包不作应答；客户端其它包CSP（ClientSentPacket）：客户端向服务器发送的其它包；服务器其它包SSP（ServerSentPacket）：由服务器向客户端发送的其它包。2023/4/1860第六十页，共83页。12.3实验原理（续）迅雷下载协议：基于P2SP技术的下载软件S指的是SERVER，就是在P2P的基础上增加了对SERVER的资源下载，也就是说P2SP是一种能同时从多个服务器和多个节点进行下载的技术；迅雷的下载速度会比只从服务器下载（P2S）或只从节点下载（P2P）的软件速度要更快；P2SP下载是一种多资源多协议下载方式，全称是PeertoServer＆Peer，即用户对服务器和用户；2023/4/1861第六十一页，共83页。12.3实验原理（续）P2SP有效地把原本孤立的服务器和其镜像资源以及P2P资源整合到了一起；P2P的下载概念，就是下载不再象传统方式那样只能依赖服务器，内容的传递可以在网络上的各个终端机器中进行；在传统的传输技术中用户一次只能连接一个服务器进行下载，而P2SP技术能搜索某一内容在其他服务器上镜像并将其存储于数据库中，用户能同时从多个服务器上下载内容；在P2SP中通过引入服务器作为资源数据来源的方法，避免了P2P中资源提供不稳定的问题。2023/4/1862第六十二页，共83页。12.3实验原理（续）迅雷的核心技术：智能资源选择用户使用迅雷下载某个文件的同时，迅雷会自动收集用户的下载地址，并以MD5值判断是否为同一个文件，从而形成一个庞大的下载链接库，这样就在迅雷服务器端进行了资源的整合；当后面的用户下载同一个文件时，迅雷就会根据用户具体的网速而去一个速度最快的服务器上面下载同一个文件；由于选择通常是最优化的结果，因此用户感觉下载速度的确非常快。2023/4/1863第六十三页，共83页。12.4实验内容12.4.1安装Winpcap和WireShark应用软件12.4.2运行WireShark，捕获网络上的数据包12.4.3分析ARP、ICMP、TCP、IP、DNS、TELNET、HTTP、FTP等协议工作过程12.4.4分析QQ协议、迅雷下载协议2023/4/1864第六十四页，共83页。12.5实验环境12.5.1网络嗅探背景描述：某公司LAN的主机连接交换机，并由路由器接入Internet，因业务扩展，公司决定进行网络嗅探，为此需要安装Winpcap和WireShark应用软件，嗅探网络类型；需求分析以公司网关为嗅探对象；截获网络数据并分析。2023/4/1865第六十五页，共83页。12.5实验环境（续）12.5.2TCP/IP协议分析背景描述：某公司LAN的主机连接交换机，并由路由器接入Internet，因业务扩展，公司决定进行网络嗅探，为此需要安装Winpcap和WireShark应用软件，嗅探网络类型；需求分析以公司网关为嗅探对象；截获网络IP、UDP和TCP数据包并分析相关协议。2023/4/1866第六十六页，共83页。12.5实验环境（续）12.5.3HTTP协议分析背景描述：某公司LAN的主机连接交换机，并由路由器接入Internet，因业务扩展，公司决定进行网络嗅探，为此需要安装Winpcap和WireShark应用软件，嗅探网络类型；需求分析设置过滤条件：notbroadcastandnotmulticast，过滤无关信息；以

为嗅探对象，截获网络HTTP数据包并分析HTTP协议。2023/4/1867第六十七页，共83页。12.5实验环境（续）12.5.4FTP协议分析背景描述：某公司LAN的主机连接交换机，并由路由器接入Internet，因业务扩展，公司决定进行网络嗅探，为此需要安装Winpcap和WireShark应用软件，嗅探网络类型；需求分析设置过滤条件，过滤无关信息；在客户端命令行窗口登录FTP服务器，截获网络FTP数据包并分析FTP协议。2023/4/1868第六十八页，共83页。12.5实验环境（续）12.5.5TELNET协议分析背景描述：某公司LAN的主机连接交换机，并由路由器接入Internet，因业务扩展，公司决定进行网络嗅探，为此需要安装Winpcap和WireShark应用软件，嗅探网络类型；需求分析设置过滤条件，过滤无关信息；在客户端命令行窗口登录TELNET服务器，截获网络TELNET数据包并分析TELNET协议。2023/4/1869第六十九页，共83页。12.5实验环境（续）12.5.6DNS协议分析背景描述：某公司LAN的主机连接交换机，并由路由器接入Internet，因业务扩展，公司决定进行网络嗅探，为此需要安装Winpcap和WireShark应用软件，嗅探网络类型；需求分析选择侦听网卡，开始抓包；在cmd窗口输入相关命令，利用WireShark截获网络DNS数据包并分析DNS协议。2023/4/1870第七十页，共83页。12.5实验环境（续）12.5.7ARP协议分析背景描述：某公司LAN的主机连接交换机，并由路由器接入Internet，因业务扩展，公司决定进行网络嗅探，为此需要安装Winpcap和WireShark应用软件，嗅探网络类型；需求分析选择侦听网卡，开始抓包；在cmd窗口输入相关命令，利用WireShark截获网络ARP数据包并分析ARP协议。2023/4/1871第七十一页，共83页。12.5实验环境（续）12.5.8QQ协议分析背景描述：某公司LAN的主机连接交换机，并由路由器接入Internet，因业务扩展，公司决定进行网络嗅探，为此需要安装Winpcap和WireShark应用软件，嗅探网络类型；需求分析选择侦听网卡，开始抓包；利用WireShark截获网络